Si tienes el messenger abierto y te llega un mensaje de uno de tus contactos con uno de los siguientes mensajes:

 

oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi 

 

Y diciéndote que aceptes un archivo llamado llamado 'IMG-0012.zip' y lo has hecho. Has descargado este archivo en tu disco duro. Después de descargarlo, los has descomprimido y has EJECUTADO el fichero que contiene, tu ordenador se ha infectado por un troyano.

Pongo la palabra EJECUTADO en mayúsculas, porque el archivo que va comprimido, claramente es un archivo ejecutable, llamado: 'img0012-www.photostorage.com'.

 

Veámos lo que pasa cuando lo ejecutamos:

 

    - Este 'gusano' se transmite a sí mismo hacia otros equipos, utilizando los contactos del messenger. Actualmente no es detectado por todos los antivirus, por lo que tras ejecutarlo y ver que no sucede nada, puede que notemos que nuestro ordenador se ralentiza, que se nos abren solas ventanas de conversación del messenger...

   - Al ejecutar este fichero, se crea en el sistema otro fichero ejecutable llamado lsass.exe. Este nombre de fichero puede sernos familiar ya que se trata de un fichero del sistema. La diferencia es que el nuevo fichero se está ejecutando en c:\windows\system\lsass.exe cuando el original, se ejecuta en c:\windows\system32\lsass.exe. Además, el tamaño del fichero original es de 13KB cuando el creado por el virus es de 25KB.

 

Y ahora la forma de eliminarlo:

 

      1.- Reiniciamos en modo a prueba de fallos*. Para que no nos cargue el fichero en memoria y nos permita eliminarlo.

 

   2.- Desde MiPc vamos hasta la carpeta c:\windows\system\ y buscamos el fichero llamado 'lsass.exe'. Si no vemos el fichero, habrá que pinchar en el explorador en el menú 'Herramientas -> Opciones de carpeta... ' y entrar en la pestaña 'Ver'. Ahora bajamos hacia abajo y desmarcamos la opción 'Ocultar archivos protegidos del sistema operativo (Recomendado). Aplicamos y aceptamos y ahora podemos ver que nos aparece el fichero que buscábamos. A continuación, borramos el fichero y vaciamos la papelera de reciclaje si fuera necesario. También podemos buscar el fichero img-0012.zip y borrarlo.

 

      3.- El último paso consiste en eliminar esta clave del registro para que 'windows' no intente ejecutar el archivo al inicio:

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services

 

      4.- Ya podemos reiniciar el equipo en modo normal y comprobar que el virus ha desaparecido. 

 

* Para iniciar el equipo en 'modo a prueba de fallos' hay que reiniciarlo y pulsar F8 mientras está arrancando. Entonces durante el arranque nos saldrá un menú, en el que seleccionaremos con las flechas arriba/abajo 'Modo Seguro' y pulsaremos 'intro'.

 

Si no entiendes alguno de los pasos, o te parece muy complicado, en el link que pongo a continuación está el método para eliminar el virus de una forma más gráfica, pero usando 3 programas:

 

Espero os sirva de ayuda.